Spadek transferu- Robak Solow?

Kaczaza · 24 Marzec 2008 11:55

Witam. Od 2 tyg. mój antyvirus wykrywa robaka o nazwie Solow. Usuwanie nic nie daje. Czasami wykrywa go w kilku źródłach na wszystkich partycjach. Przedstawiam logi z HijackThis`a oraz Combofixa

http://www.speedyshare.com/391713666.html

http://www.speedyshare.com/192377128.html

Dziekuje z góry za odpowiedzi. Dodam że jestem laikiem w tych sprawach wiec proszę o w miare proste wytłumaczenie co mam wykonać

Gutek · 25 Marzec 2008 14:13

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\RundII32.exe

usuń wpisy HJT

Pobierz program SDFix

Kaczaza · 25 Marzec 2008 17:42

log Combofix http://www.speedyshare.com/566461369.html

Report http://www.speedyshare.com/596812911.html

Dalej wykrywa Solowa i inne paskudztwa

Leon1 · 25 Marzec 2008 18:16

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Kaczaza · 27 Marzec 2008 18:49

Niestety wszystko pomogło tylko na moment. Wykrywa mi Robaka o nazwie Sys_tray.eze i Autoruna.dll. Dodatkowo pojawiają sie ataki kompa -

"2008-03-27 18:51:01 Intrusion.Win.MSSQL.worm.Helkern! Adres IP atakuj¹cego: 61.184.84.175. Protokó³/us³uga: UDP na lokalnym porcie 1434. Czas: 2008-03-27 18:51:01

Nie chce robic formata bo to dla mnie ostateczność. Czy ktoś pomoże?

Leon1 · 27 Marzec 2008 19:11

Chcesz pomocy a nie wykonujesz zaleceń

czekam

Kaczaza · 27 Marzec 2008 20:29

Powtórzyłem operacje poraz kolejny. Log Report z Combofixa:

http://www.speedyshare.com/326121920.html

cezar07 · 29 Marzec 2008 00:30

Proponuję bezpłatne narzędzie do usuwania robaków ArcaClean

http://www.arcabit.pl

Leon1 · 29 Marzec 2008 14:43

Otwórz notatnik i wklej

File:: C:\WINDOWS\RundII32.exe C:\WINDOWS$hf_mig$\Forder_info.exe C:\WINDOWS$hf_mig$\KB920213\Forder_info.exe C:\WINDOWS$hf_mig$\KB921503\Forder_info.exe C:\WINDOWS$hf_mig$\KB921503\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB922582\Forder_info.exe C:\WINDOWS$hf_mig$\KB923980\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB924191\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB924270\Forder_info.exe C:\WINDOWS$hf_mig$\KB924496\Forder_info.exe C:\WINDOWS$hf_mig$\KB926436\Forder_info.exe C:\WINDOWS$hf_mig$\KB927802\Forder_info.exe C:\WINDOWS$hf_mig$\KB928255\Forder_info.exe C:\WINDOWS$hf_mig$\KB931261\Forder_info.exe C:\WINDOWS$hf_mig$\KB931784\Forder_info.exe C:\WINDOWS$hf_mig$\KB931836\Forder_info.exe C:\WINDOWS$hf_mig$\KB933729\Forder_info.exe C:\WINDOWS$hf_mig$\KB933729\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB935840\Forder_info.exe C:\WINDOWS$hf_mig$\KB935840\SP2QFE\Forder_info.exe C:\WINDOWS$hf_mig$\KB936021\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB941568\Forder_info.exe C:\WINDOWS$hf_mig$\KB942840\update\Forder_info.exe C:\WINDOWS$hf_mig$\KB943460\Forder_info.exe C:\WINDOWS\AppPatch\Forder_info.exe C:\WINDOWS\Debug\Forder_info.exe C:\WINDOWS\Downloaded Installations{41A8FD47-AA29-464F-BF89-BB3F48240602}\Forder_info.exe C:\WINDOWS\ftpcache\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\Wav\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\WMarks\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\Forder_info.exe C:\WINDOWS\ime\imejp\applets\Forder_info.exe C:\WINDOWS\ime\imkr6_1\Forder_info.exe C:\WINDOWS\ime\shared\res\Forder_info.exe C:\WINDOWS\inf\Forder_info.exe C:\WINDOWS\Installer{3248F0A8-6813-11D6-A77B-00B0D0150110}\Forder_info.exe C:\WINDOWS\Installer{588AA47B-9115-44D3-B2E5-4F10BC659D6C}\Forder_info.exe C:\WINDOWS\Installer{90120415-6000-11D3-8CFE-0150048383C9}\Forder_info.exe C:\WINDOWS\Installer{AC76BA86-7AD7-1033-7B44-A70800000002}\Forder_info.exe C:\WINDOWS\Installer{EC42ED6A-751D-45C0-A4F9-8CD00E4690FC}\Forder_info.exe C:\WINDOWS\java\trustlib\Forder_info.exe C:\WINDOWS\pchealth\ERRORREP\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Config\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Config\Cache\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Database\Forder_info.exe C:\WINDOWS\pchealth\helpctr\HelpFiles\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\dialogs\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\images\48x48\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\images\Expando\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\NetDiag\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Common\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Server\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\sysinfo\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\sysinfo\graphics\47x24pie\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System_OEM\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\Forder_info.exe C:\WINDOWS\pchealth\UploadLB\Config\Forder_info.exe C:\WINDOWS\Provisioning\Forder_info.exe C:\WINDOWS\RegisteredPackages{077ACEC7-979C-40AB-9835-435BA1511E0D}$BACKUP$\Forder_info.exe C:\WINDOWS\RegisteredPackages{077ACEC7-979C-40AB-9835-435BA1511E0D}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{981FB688-E76B-4246-987B-92083185B90A}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{AAC1D942-0B38-4E37-9E4E-5B96A9DD2170}$BACKUP$\System\Forder_info.exe C:\WINDOWS\RegisteredPackages{C5B8FBE9-645E-4484-A7AA-E8DA9A70DD77}\Forder_info.exe C:\WINDOWS\repair\Forder_info.exe C:\WINDOWS\Resources\Forder_info.exe C:\WINDOWS\security\Forder_info.exe C:\WINDOWS\SHELLNEW\Forder_info.exe C:\WINDOWS\SoftwareDistribution\EventCache\Forder_info.exe C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default\Forder_info.exe C:\WINDOWS\SoftwareDistribution\SelfUpdate\Registered\Forder_info.exe C:\WINDOWS\srchasst\Forder_info.exe C:\WINDOWS\srchasst\mui\Forder_info.exe C:\WINDOWS\Sun\Java\Deployment\Forder_info.exe C:\WINDOWS\system\Sys_Tray.exe C:\WINDOWS\system32\1042\Forder_info.exe C:\WINDOWS\system32\1054\Forder_info.exe C:\WINDOWS\system32\2052\Forder_info.exe C:\WINDOWS\system32\3076\Forder_info.exe C:\WINDOWS\system32\appmgmt\Forder_info.exe C:\WINDOWS\system32\CatRoot{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\CryptnetUrlCache\Content\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\Internet Explorer\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\SystemCertificates\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\SystemCertificates\My\CRLs\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Menu Start\Programy\Akcesoria\Rozrywka\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Moje dokumenty\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\SendTo\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Media Player\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012007021820070219\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Forder_info.exe C:\WINDOWS\system32\drivers\disdn\Forder_info.exe C:\WINDOWS\system32\IME\PINTLGNT\Forder_info.exe C:\WINDOWS\system32\IME\TINTLGNT\Forder_info.exe C:\WINDOWS\system32\Microsoft\Forder_info.exe C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Forder_info.exe C:\WINDOWS\system32\mui\dispspec\Forder_info.exe C:\WINDOWS\system32\npp\Forder_info.exe C:\WINDOWS\system32\oobe\error\Forder_info.exe C:\WINDOWS\system32\oobe\html\dslmain\Forder_info.exe C:\WINDOWS\system32\oobe\html\iconnect\Forder_info.exe C:\WINDOWS\system32\oobe\html\ispsgnup\Forder_info.exe C:\WINDOWS\system32\PreInstall\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0002\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\5.8.0.2469\Forder_info.exe C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.0.6000.374\Forder_info.exe C:\WINDOWS\system32\spool\Forder_info.exe C:\WINDOWS\system32\spool\drivers\w32x86\Forder_info.exe C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_d2300_seri856d\Forder_info.exe C:\WINDOWS\system32\spool\PRINTERS\Forder_info.exe C:\WINDOWS\system32\spool\prtprocs\Forder_info.exe C:\WINDOWS\system32\wbem\Repository\Forder_info.exe C:\WINDOWS\system32\wbem\xml\Forder_info.exe C:\WINDOWS\WinSxS\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.6.0.Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_x-ww_527a1c68\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.7.0.Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_x-ww_a317e4b3\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Tools.VisualCPlusPlus.Runtime-Libraries_6595b64144ccf1df_6.0.9792.0_x-ww_08a6620a\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_6e805841\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95\Forder_info.exe C:\Documents and Settings\Administrator\Forder_info.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\SysTray.exe C:\Documents and Settings\Kaczaza\Menu Start\Programy\Autostart\SysTray.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\SysTray.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Aplication Tray”=- “Rundll32”=-

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Kaczaza · 30 Marzec 2008 07:52

Report z dziś. Zrobiłem jak napisałes Leon$.

http://www.speedyshare.com/793620891.html

Gutek · 30 Marzec 2008 10:39

Skan AVG Anti-Spyware 7.5 po update + raport

Kaczaza · 1 Kwiecień 2008 21:05

Report z AVG po update`cie. http://www.speedyshare.com/754800846.html

Gutek · 1 Kwiecień 2008 21:53

Strasznie źle się ten raport czyta, ale widzię tylko ciasteczka więc Ok

Leon1 · 2 Kwiecień 2008 14:12

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Kaczaza · 2 Kwiecień 2008 19:26

Prosze log Combofixa z usuwania http://www.speedyshare.com/949469976.html

Leon1 · 2 Kwiecień 2008 19:37

Log wygląda na czysty

na koniec przeskanuj tym http://www.kaspersky.pl/virusscanner.html

jeśli coś znajdzie to pokaż raport

jeśli czysty to

usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

włącz przywracanie systemu

Kaczaza · 4 Kwiecień 2008 06:21

Report Kaspersky Online http://www.speedyshare.com/865707400.html

Leon1 · 4 Kwiecień 2008 14:02

te pliki masz skażone więc usuń Kasperski online nie kasuje tylko wykrywa

Statystyki skanowania Liczba skanowanych obiektów 74450 Liczba wykrytych wirusów 6 Liczba zainfekowanych obiektów 18 Liczba podejrzanych obiektów 0 C:\Documents and Settings\Kaczaza\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-2fda2583-5ab34a50.zip/BaaaaBaa.class Zainfekowanych: Exploit.Java.Gimsh.a C:\Documents and Settings\Kaczaza\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-2fda2583-5ab34a50.zip ZIP: zainfekowany - 1 C:\QooBox\Quarantine\C\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL.vir Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az C:\QooBox\Quarantine\C\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL.vir Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az C:\QooBox\Quarantine\C\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL.vir Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az C:\QooBox\Quarantine\catchme2008-03-27_210655.32.zip/host.exe Zainfekowanych: Trojan-Dropper.Win32.Small.apl C:\QooBox\Quarantine\catchme2008-03-27_210655.32.zip ZIP: zainfekowany - 1 D:\hijackthis.zip/backups/backup-20080325-173157-709.dll Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.az D:\hijackthis.zip ZIP: zainfekowany - 1 D:\Pliki z pulpitu\program.rar/Program/Project1.exe Zainfekowanych: Virus.Win32.Hidrag.a D:\Pliki z pulpitu\program.rar RAR: zainfekowany - 1 E:\My Downloads\Barbarez insomnia.mp3 Zainfekowanych: Trojan-Downloader.WMA.Wimad.n E:\Program Files\BearShare\Installer\BSInstall5.2.5.1.exe/WISE0026.BIN/clientax.dll Zainfekowanych: not-a-virus:AdWare.Win32.180Solutions.ao E:\Program Files\BearShare\Installer\BSInstall5.2.5.1.exe/WISE0026.BIN Zainfekowanych: not-a-virus:AdWare.Win32.180Solutions.ao E:\Program Files\BearShare\Installer\BSInstall5.2.5.1.exe WiseSFX: zainfekowany - 2 E:\Program Files\BearShare\Installer\BSInstall5.2.5.1.exe WiseSFXDropper: zainfekowany - 2 E:\z pulpitu\sobota16.11.rar/sobota16.11/program_najnowszy/Program.exe Zainfekowanych: Virus.Win32.Hidrag.a E:\z pulpitu\sobota16.11.rar RAR: zainfekowany - 1

C: \Qoobox już usunołeś więc ich nie ma

Po tym wszystkim powinno być OK

Kaczaza · 4 Kwiecień 2008 14:16

OK zawartośc folderu C: \Qoobox usunięta. Narazie wszystko cacy. Dzieki Wielkie. Obiecuje ze bede jeszcze pisał w razie problemów Pozdrawiam